Melindungi lingkungan cloud memerlukan perlindungan akun Identity and Access Management dari penyusupan. Membobol akun pengguna istimewa memungkinkan penyerang membuat perubahan pada lingkungan cloud, sehingga mendeteksi potensi pembobolan sangat penting untuk mengamankan organisasi dari berbagai ukuran. Untuk membantu organisasi tetap aman,Google Cloud mencatat tindakan sensitif yang dilakukan oleh akun pengguna IAM dan memberi tahu administrator organisasi tentang tindakan tersebut secara langsung melalui Notifikasi Saran.
Tindakan sensitif adalah tindakan yang dapat berdampak negatif signifikan pada organisasi Google Cloud Anda jika dilakukan oleh pelaku kejahatan menggunakan akun yang disusupi. Tindakan ini sendiri tidak selalu menunjukkan ancaman terhadap organisasi Anda atau mengindikasikan bahwa akun telah disusupi. Namun, sebaiknya Anda mengonfirmasi bahwa tindakan tersebut dilakukan oleh pengguna Anda dengan tujuan yang sah.
Siapa yang menerima notifikasi Tindakan Sensitif
Google Cloud memberi tahu organisasi Anda tentang tindakan sensitif dengan mengirimkan notifikasi email ke kontak penting tingkat organisasi Anda untuk keamanan. Jika tidak ada kontak penting yang dikonfigurasi, notifikasi email akan dikirim ke semua akun yang memiliki peran IAM Admin Organisasi di tingkat organisasi.
Tidak ikut serta
Jika tidak ingin menerima notifikasi Tindakan Sensitif di organisasi Anda, Anda dapat memilih untuk tidak menerima notifikasi ini. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi notifikasi. Memilih untuk tidak menerima notifikasi Tindakan Sensitif hanya memengaruhi notifikasi yang dikirim melalui Pemberitahuan Insiden. Log Tindakan Sensitif selalu dibuat dan tidak terpengaruh oleh pilihan untuk tidak menerima notifikasi. Jika Anda menggunakan Security Command Center, Sensitive Actions Service tidak terpengaruh oleh penonaktifan notifikasi Tindakan Sensitif.
Cara kerja Tindakan Sensitif
Google Cloud mendeteksi tindakan sensitif dengan memantau Log Audit Aktivitas Admin organisasi Anda. Saat tindakan sensitif terdeteksi, Google Cloud menulis tindakan tersebut di log platform Layanan Tindakan Sensitif di resource yang sama tempat aktivitas terjadi. Google Cloud juga menyertakan peristiwa dalam notifikasi yang dikirimkan melalui Notifikasi Saran.
Frekuensi notifikasi
Saat tindakan sensitif pertama kali diamati di organisasi Anda, Anda akan menerima laporan yang mencakup tindakan awal, ditambah tindakan lain yang terjadi dalam satu jam berikutnya. Setelah laporan awal, Anda akan menerima laporan untuk tindakan sensitif baru di organisasi Anda paling banyak sekali setiap 30 hari. Jika tidak ada tindakan sensitif di organisasi Anda dalam waktu yang lama, Anda mungkin menerima laporan satu jam saat tindakan sensitif terdeteksi lagi.
Saat Tindakan Sensitif tidak dihasilkan
Google Cloud melaporkan tindakan sensitif hanya jika pokok yang melakukan tindakan adalah akun pengguna. Tindakan yang dilakukan oleh akun layanan tidak dilaporkan. Google mengembangkan kemampuan ini untuk melindungi dari musuh yang mendapatkan akses ke kredensial pengguna akhir dan menggunakannya untuk melakukan tindakan yang tidak diinginkan di lingkungan cloud. Karena banyak tindakan ini merupakan perilaku umum untuk akun layanan, log dan notifikasi saran tidak dibuat untuk identitas ini.
Tindakan sensitif tidak dapat dideteksi jika Anda telah mengonfigurasi Log Audit Aktivitas Admin agar berada di wilayah tertentu (yaitu, bukan wilayah global). Misalnya, jika Anda telah menentukan region penyimpanan untuk bucket log _Required di resource tertentu, log dari resource tersebut tidak dapat dipindai untuk tindakan sensitif.
Jika Anda telah mengonfigurasi Log Audit Aktivitas Admin agar dienkripsi dengan kunci enkripsi yang dikelola pelanggan, log Anda tidak dapat dipindai untuk menemukan tindakan sensitif.
Tindakan Sensitif di Security Command Center
Jika Anda menggunakan Security Command Center, Anda dapat menerima Tindakan Sensitif sebagai temuan melalui Sensitive Actions Service.
Meskipun log Tindakan Sensitif dan Notifikasi Saran memberikan satu perspektif tentang perilaku akun di organisasi Anda, Security Command Center memberikan kemampuan pengelolaan dan insight tambahan bagi tim keamanan yang melindungi beban kerja dan lingkungan yang lebih kompleks, besar, atau penting. Sebaiknya pantau Tindakan Sensitif sebagai bagian dari strategi pemantauan keamanan Anda secara keseluruhan.
Untuk mengetahui informasi selengkapnya tentang Security Command Center, lihat artikel berikut:
Harga
Notifikasi untuk Tindakan Sensitif di Notifikasi Saran diberikan tanpa biaya tambahan. Log Tindakan Sensitif di Cloud Logging menimbulkan biaya penyerapan dan penyimpanan sesuai dengan harga Logging. Volume entri log Tindakan Sensitif bergantung pada seberapa sering akun pengguna di organisasi Anda melakukan tindakan sensitif. Tindakan ini biasanya tidak umum.
Jenis Tindakan Sensitif
Google Cloud memberi tahu Anda tentang jenis tindakan sensitif berikut.
Sensitive Roles Added
Akun utama dengan peran IAM Pemilik (roles/owner) atau Editor (roles/editor)
diberikan di tingkat organisasi. Peran ini mengizinkan sejumlah besar tindakan di seluruh organisasi Anda.
Billing Admin Removed
Peran IAM Billing Account Administrator (roles/billing.admin) dihapus di tingkat organisasi. Menghapus peran ini dapat mencegah pengguna memiliki visibilitas dan memberikan mekanisme bagi penyerang untuk tetap tidak terdeteksi.
Organization Policy Changed
Kebijakan organisasi dibuat, diperbarui, atau dihapus di tingkat organisasi. Kebijakan organisasi di tingkat ini dapat memengaruhi keamanan semua resourceGoogle Cloud organisasi Anda.
Project-level SSH Key Added
Kunci SSH tingkat project telah ditambahkan ke project Google Cloud yang sebelumnya tidak memiliki kunci tersebut. Kunci SSH tingkat project dapat memberikan akses ke semua mesin virtual (VM) dalam project.
GPU Instance Created
VM dengan GPU dibuat dalam project oleh orang yang belum membuat instance GPU dalam project tersebut baru-baru ini. Instance Compute Engine dengan GPU dapat menghosting beban kerja seperti penambangan mata uang kripto.
Many Instances Created
Beberapa instance VM dibuat oleh pengguna dalam project tertentu. Sejumlah besar instance VM dapat digunakan untuk workload yang tidak terduga seperti penambangan mata uang kripto atau serangan penolakan layanan.
Many Instances Deleted
Beberapa instance VM dihapus oleh pengguna dalam project tertentu. Penghapusan instance dalam jumlah besar dapat mengganggu bisnis Anda.
Langkah berikutnya
- Pelajari cara melihat notifikasi.
- Pelajari cara merespons notifikasi Tindakan Sensitif.
- Pelajari cara memilih untuk menerima atau tidak menerima notifikasi.